Перейти к содержанию
AM_Bot

Вышел антивирус Symantec Endpoint Protection с поддержкой безопасности VMware vShield

Recommended Posts

AM_Bot

symantec.jpgКомпания Symantec выпустила новую версию своего корпоративного антивируса Endpoint Protection 12.1.2, предназначенного для работы с виртуализованными средами VMware, а также с операционными системами Windows 8 и Mac OS X 10.8 Mountain Lion.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

И - понеслось!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Даже странно, что Симантек так долго раскачивался, технологии то уже года три.

А раньше или TrendMicro или при традиционном подходе перезакладывайся на оборудование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Выпуск продукта с поддержкой технологии vShield, используемой для защиты виртуальных машин под управлением гипервизоров VMware, стал необходимым шагом после того, как аналогичные решения выпустили компании Trend Micro, Kaspersky Lab, McAfee и другие.

А до этого Symantec делал вид 2 года, что это все неправильный подход и что никому это не нужно. В итоге все равно сделали поддержку vShield, по сути последними из числа лидеров антивирусного рынка. Но лучше поздно, чем никогда. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Ну строго говоря, первыми ЕМНИП были всё равно TrendMicro и McAfee, так что если у Заказчика корпоративный стандарт, какой-нибудь ESET, Симантек, Касперский etc и Заказчик говорит "а давайте сейчас пилотик сделаем на виртуальных десктопах, вот у нас под такое дело куча старого оборудования" в результате традиционный антивирусный клиент ставится в машину и во время очередной плановой проверки, всё ложится по производительности.

Хорошо хоть VDI не так распространён пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Dr. Faust

какой-нибудь ..., Касперский etc и Заказчик говорит

Ы?

Kaspersky Security для виртуальных сред 1.1: выпуск Critical Fix 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Да, теперь и Каспер.

Ну да :lol:

4 месяца назад это "теперь" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Проектированием VDI, я занимаюсь с 2009 года. Так, что для меня именно "теперь".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Все это конечно хорошо, но если подходить с точки зрения уже сложивщегося стандарта интеграции с VMware vShield Endpoint, то у Symantec по-прежнеум для него решения нет.

Посмотрите внимательнее на архитектуру, ничего странного не находите?

SEP_VMware.jpg

Подскажу, в этой таблице должно быть НЕТ, а у Symantec по-прежнему ДА:

VMVShield.jpg

Смысл технологии vShield Endpoint - чтобы перенести полностью АВ сканирование с каждой ВМ на выделенный сервер, Symantec пошел весьма странным путем, не факт что такая разработка была проще, но вот пользы от данной реализации - почти НОЛЬ

post-44-1354713436_thumb.jpg

post-44-1354713741_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Смысл технологии VShield Endpoint - чтобы перенести полностью АВ сканирование с каждой ВМ на выделенный сервер, Symantec пошел весьма странным путем, не факт что такая разработка была проще, но вот пользы от данной реализации - почти НОЛЬ

Если смотреть на приведенную тобой схему, то хорошо видно, что новая версия Symantec Endpoint Protection лишь выносит кеширование на уровень гипервизора, т.е. должна работать кеш антивирусной проверки для разных вирутальных машин. Проверенный уже на одной машине файл не должен повторно проверяться на другой. Но антивирус все равно остается на агенте, как и был. Ну хоть так сделали, и то хорошо.

Смущает и вводит в заблуждение вот это:

Как говорит Майкл Мэрфайс (Michael Marfise), директор Symantec по продукции, функции сканирования с устранением дублированием успешно перенесены на платформу vShield. В результате антивирусная защита теперь отнимает меньше ресурсов и работает быстрее для систем, работающих под управлением гипервизоров ESX, за счет использования архитектуры vShield без агентских модулей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Смущает и вводит в заблуждение вот это:

В англоязычной версии я ничего такого не нашел, то есть либо это "трудности перевода", либо уже кто-то додумал сам. Естественно, здесь ни о какой безагентской технологии речь не идет, соответственно считать это полноценным решением для vShiled Endpoint нельзя

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Если смотреть на приведенную тобой схему, то хорошо видно, что новая версия Symantec Endpoint Protection лишь выносит кеширование на уровень гипервизора, т.е. должна работать кеш антивирусной проверки для разных вирутальных машин. Проверенный уже на одной машине файл не должен повторно проверяться на другой.

Такая оптимизация вроде бы была и раньше, в 12.1.0. Возможно, на другом уровне.

Если интеграция с vShield заключается в том, что это кэширование теперь идёт на уровне гипервизора (вполне вероятно, что именно это и произошло), то это не сильно большой прорыв.

Я не вижу на схеме виртуальную машину защиты, как это сделано у Kaspersky, Trend Micro, и даже у BitDefender. Именно функционал виртуальной машины защиты позволяет защищать виртуалки "поверх". Без этого, насколько понимаю, от агентов на каждой ВМ отказаться нельзя при существующей схеме интеграции с vShield.

На схеме действительно только какой-то общий кэш.

Получается, по-прежнему это не антивирус для виртуальных сред на базе VMware vSphere в сложившемся уже на рынке понимании.

Более того, производители систем безопасности критиковали излишнюю закрытость архитектуры vShield — для создания продуктов, совместимых с vShield, нужно было тесно сотрудничать с компанией VMware. Кроме того, технология считалась слишком сложной для реализации заявленных функций в сторонних продуктах.

Спорное утверждение.

Заново писать не буду, ибо этот момент уже писал в одной из статей на АМ:

В настоящее время в составе программного обеспечения для виртуализации VMware vSphere входит множество компонентов под названием VMware vShield. Данная технология пришла на смену технологии VMware vSafe, которую раньше могли использовать лишь некоторые сторонние производители защитного программного обеспечения. VMware vShield призван упорядочить подход к безопасности виртуальных инфраструктур, и открывает больше возможностей сторонним производителям для интеграции с системой безопасности, созданной VMware для организации защиты виртуальных инфраструктур VMware vSphere.

http://www.anti-malware.ru/analytics/Progr...Infrastructures

Т.е. именно появление vShield развязало руки большинству вендоров к созданию продуктов, которые раньше были только у тех, кто смог договориться с VMware по поводу vSafe. Помнится, среди таких были как раз Trend Micro.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я не вижу на схеме виртуальную машину защиты, как это сделано у Kaspersky, Trend Micro, и даже у BitDefender. Именно функционал виртуальной машины защиты позволяет защищать виртуалки "поверх". Без этого, насколько понимаю, от агентов на каждой ВМ отказаться нельзя при существующей схеме интеграции с vShield.

На схеме действительно только какой-то общий кэш.

Получается, по-прежнему это не антивирус для виртуальных сред на базе VMware vSphere в сложившемся уже на рынке понимании.

Валер, нельзя увидеть того чего нет в природе. Огорчает меня почти все, что делает Symantec в области ИБ последние 3-4 года...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Коллеги, вы по-моему вы заблуждаетесь.

Во-первых стандарт реализации есть только один - это стандарт, который предоставляет компания VMware своим партнёрам, для реализации технологии vShield Endpoint, как будет работать конкретный продукт внутри Virtual Appliance - сугубо личное дело каждого вендора.

Далее, в рамках данной технологии никакого переноса на "выделенный сервер" для сканирования не происходит, в том смысле, что сканирование действительно осуществляется в рамках запущенного вендорского Virtual Appliance'а, но выделенного сервера под это, повторяю, не нужно, равно как и на уровень гипервизора никакие операции не выносятся.

Во-вторых и про Симантек, если почитать их Бест Практис, то становится понятно, что для виртуальных сред, они, также, предлагают вариант с установкой Virtual Appliance и интеграция у них, также, производится через vShield API . Что касается агентов и Shared Insight Cache (репутационная технология), то последний вообще является отдельной, дополнительной фичей и работать может как через API, так и используя обычный HTTP, в качестве транспорта, а агенты есть и у других, в том числе и у вас, Кирилл, инфа 146%.))))

Ну и последнее, в конечном итоге, для проектировщиков будут важны два параметра: MHz per Virtual Machine и IOPS per user. Симантек, заявляет, что эта доп фича Shared Insight Cache, снижает кол-во операций до 80%, а насколько это соответствует действительности, для реальных инфраструктур, а не для сферовакуумных - покажут только тесты.

З.Ы. Симантек, Кирилл, жалеть не нужно, у них в отличие от многих других, например, есть NAC и талмуды на тему, как наш антивирус встроить в ваш DR сценарий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Dr. Faust а при чем здесь NAC и почему именно NAC? И что касается Best Practice - так где продукт-то, которым можно реализовать agent less решение для VMware, как он называется? Или он секретный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

NAC притом, что у каждого продукта есть свои сильные и слабые стороны - это нормально. У Симантека есть NAC, у вас его ЕМНИП нет.

И что касается Best Practice - так где продукт-то, которым можно реализовать agent less решение для VMware, как он называется? Или он секретный?

Он, этот продукт, написан в шапке поста, и интегрируется он как раз-таки с vShield API, агенты там точно такие же как и у вас, ставятся как компонент VMware Tools насколько я понимаю.

Картинка, которую вы привели и с которой весь спич начался, относится вообще к дополнительной технологии, понимаете, и даже на ней видно, что с агентами аплайнс взаимодействует через vShield шину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
NAC притом, что у каждого продукта есть свои сильные и слабые стороны - это нормально. У Симантека есть NAC, у вас его ЕМНИП нет.

Насчет NACа не будем спорить, это не тема данного топика

Он, этот продукт, написан в шапке поста, и интегрируется он как раз-таки с vShield API, агенты там точно такие же как и у вас, ставятся как компонент VMware Tools насколько я понимаю.

Картинка, которую вы привели и с которой весь спич начался, относится вообще к дополнительной технологии, понимаете, и даже на ней видно, что с агентами аплайнс взаимодействует через vShield шину.

Ну тогда вам все-таки нужно побольше узнать о технологии vShield Endpoint. Данная технология предполагает что на Виртуальные Машины (ВМ) НЕ БУДЕТ устанавливаться никакого дополнительного АВ ПО, все работает через драйвер vShield Endpoint, который с последней версии VMware ESx является неотъемлемой частью VMware Tools. Специализированные продукты компаний McAfee, Trend Micro, BitDefender и Kaspersky Lab под vShield Endpoint не устанавливают НИЧЕГО на ВМ дополнительно. Продукт Symantec Endpoint Protection 12.1 RU2 все еще требует установки клиента Symantec Endpoint Protection на каждую ВМ, поэтому не является специализированным решением для vShield Endpoint. Если это не так и я ошибаюсь - приведите пруфлинк где дается иное описание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Далее, в рамках данной технологии никакого переноса на "выделенный сервер" для сканирования не происходит, в том смысле, что сканирование действительно осуществляется в рамках запущенного вендорского Virtual Appliance'а, но выделенного сервера под это, повторяю, не нужно, равно как и на уровень гипервизора никакие операции не выносятся.

Как раз фишка vShield в том, чтобы проверять все на уровне гипервизора, а не по старинке внутри гостевых машин. Поэтому Кирилл правильно пишет:

Ну тогда вам все-таки нужно побольше узнать о технологии vShield Endpoint. Данная технология предполагает что на Виртуальные Машины (ВМ) НЕ БУДЕТ устанавливаться никакого дополнительного АВ ПО, все работает через драйвер vShield Endpoint, который с последней версии VMware ESx является неотъемлемой частью VMware Tools. Специализированные продукты компаний McAfee, Trend Micro, BitDefender и Kaspersky Lab под vShield Endpoint не устанавливают НИЧЕГО на ВМ дополнительно.

Там еще вкусности появляются дополнительные, например, сканирование выключенных виртуальных машин. Как их проверить при помощи агентов, если сама машина выключена? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust
Ну тогда вам все-таки нужно побольше узнать о технологии vShield Endpoint. Данная технология предполагает что на Виртуальные Машины (ВМ) НЕ БУДЕТ устанавливаться никакого дополнительного АВ ПО, все работает через драйвер vShield Endpoint, который с последней версии VMware ESx является неотъемлемой частью VMware Tools. Специализированные продукты компаний McAfee, Trend Micro, BitDefender и Kaspersky Lab под vShield Endpoint не устанавливают НИЧЕГО на ВМ дополнительно. Продукт Symantec Endpoint Protection 12.1 RU2 все еще требует установки клиента Symantec Endpoint Protection на каждую ВМ, поэтому не является специализированным решением для vShield Endpoint. Если это не так и я ошибаюсь - приведите пруфлинк где дается иное описание

Совет неплох, вот давайте я вам и почитаю про vShield Endpoint вслух. Как я уже говорил, стандарт задаёт компания VMware и вот, что она пишет:

Agentless solution – Instead of an antivirus agent installed on each desktop to be protected, vShield Endpoint

utilizes a small-footprint driver on each desktop. This driver is part of VMware Tools, and no additional

provisioning is required. The antivirus scanner and virus signatures are installed only in the virtual appliance.

This saves space on each desktop and results in a reduced attack surface in the guest because there is no

agent to compromise.

http://www.vmware.com/files/pdf/VMware-Vie...tices-TN-EN.pdf

Ключевая фраза тут "The antivirus scanner and virus signatures are installed only in the virtual appliance." т.е. все ресурсоёмкие операции по поиску и детектированию вынесены в отдельный модуль, который в свою очередь может быть выделен в отдельный ресурсный пул, и только этот модуль может порождать вычислительную нагрузку на хост-серверы и дисковую нагрузку на системы хранения. Вот это и есть основная идея, вынести антивирусный движок в отдельный модуль, который представляет собой по сути обычную виртуальную машину, а раз это обычная ВМ, значит мы можем стандартным для гипервизора методами управлять её потреблением ресурсов. Всё остальное про полностью безагентную работу - это ваши выдумки, нет таких "волшебных пузырьков", которые позволят гипервизору "заглянуть внутрь" виртуальной машины без использования агентов внутри хост-системы и VMware Tools как раз таким агентом и является, то что Лаборатория Касперского сделала ставку на интеграцию своего драйвера в состав устанавливаемого пакета, то решение изящное и красивое - не спорю, но это просто вариант реализации и не более. То, что ваш Thin Agent, является неотъемлемой частью VMware Tools, это вы мягко говоря не правы.

Если опять же вернуться к документации Симантека, то видно, что там как раз и предлагается установка Virtual Appliance c vShield'ом.

На основании этого я утверждаю, что ваши выводы насчёт:

Смысл технологии vShield Endpoint - чтобы перенести полностью АВ сканирование с каждой ВМ на выделенный сервер, Symantec пошел весьма странным путем, не факт что такая разработка была проще, но вот пользы от данной реализации - почти НОЛЬ

спорны, т.к. я не вижу здесь традиционного подхода в виде многочисленных, запущенных копий антивирусного монитора в каждой виртуальной машине, с обязательным эффектом в виде порождения одновременной лавины операций ввода-вывода на запись, при обновлениях сигнатур, операций ввода-вывода на чтение при сканировании и повышенного оверхеда на ресурсы CPU. И уж тем более не при чём тут ваши картинки, про отдельную фичу Insight Cache, которые не доказывают ни-че-го. Что бы это всё понять мне хватило 15 минут беглого проглядывания документации, не исключаю, что поступи вы аналогичным образом, у вас получилось бы лучше, а так это всё больше напоминает FUD.

Как раз фишка vShield в том, чтобы проверять все на уровне гипервизора, а не по старинке внутри гостевых машин.

Гипервизору строго говоря плевать, на всю вирусную/антивирусную активность, для него каждая ВМ, лишь процесс и не более:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Dr. Faust, ОК, вы на своей волне, оставлю вас на ней. Фактов что Symantec предложил именно agent-less решение для VMware vSpere и vShiled Endpoint вы не привели, что и требовалось доказать. Вы можете и дальше находиться в заблуждении, это ваше право. Но ситуацию по факту так и не изменилась, полноценные решения по-прежнему есть только у McAfee, Trend Micro, Kaspersky Lab и BitDefender, Symantec продолжает быть за пределами этой "игровой зоны". Мне это как раз-то весьма жаль, так как я 3 года своей жизни посвятил данной компании

Гипервизору строго говоря плевать, на всю вирусную/антивирусную активность, для него каждая ВМ, лишь процесс и не более:)

Вы только клиентам так не говорите, а то шокируете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Я Кирилл, действительно на "своей волне", так как моя "волна" не предусматривает защиту корпоративных интересов любой ценой и в KPI у меня нет пункта "продвижение продуктов компании".

Я не очень понял только, что именно я должен приводить и с чем конкретно вы не согласны. Вы высказали спорный тезис, что Симантек будет проигрывать другим вендорам, потому, что дескать агенты у него в виртуальных машинах, привели совершенно левые картинки, которые к делу не относятся. Не кажется ли вам, что тяжесть доказательств лежит на утверждающем, то есть на вас? Что заставляет вас думать о неполноценности Симантека, если докажите, что ативирусные проверки, равно как и обновления осуществляются в рамках каждой виртуальной машины - я с вами соглашусь.

Вы только клиентам так не говорите, а то шокируете

Почему же?))))

вы не привели, что и требовалось доказать.

Вы ещё скажите: слив защитан. Детский сад - штаны на лямках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Вы высказали спорный тезис, что Симантек будет проигрывать другим вендорам, потому, что дескать агенты у него в виртуальных машинах, привели совершенно левые картинки, которые к делу не относятся.

А где прозвучал данный тезис?

Тезис состоит лишь в том, что из "большой четверки" (Symantec, McAfee, Trend Micro, Kaspersky Lab) полноценного решения для защиты VMware vSphere нет только у Symantec, а то, о чем идет речь в данной новости - лишь очередная оптимизация классического подхода, который себя уже исжил.

Вам просто нужно поменьше верить в маркетинговый булшит, а разбираться с самими технологиями по технической документации

Я Кирилл, действительно на "своей волне", так как моя "волна" не предусматривает защиту корпоративных интересов любой ценой и в KPI у меня нет пункта "продвижение продуктов компании".

А у кого есть пункт "продвижение продуктов компании"?

Я вроде как не скрываю что работаю сейчас в Kaspersky Lab, но где я в данной дискуссии продвигаю Kaspersky Security for Virtualization? Я везде привожу перечень полноценных продуктов - Trend Micro, McAfee, Kaspersky Lab, BitDefender, вот и все. Так кого я продвигаю, все 4 компании? Тогда пожалуй пойду за зарплатой в оставшиеся три :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Ваш пост номер 10, с картинкой иллюстрирующей работу доп фичи Симантека, называемой Insight Cache.

Но даже на этой картинке есть слова "Security Virtual Appliance" и VMware vShield, последний причём представлен в ввиде шины передачи данных.

Вам просто нужно поменьше верить в маркетинговый булшит, а разбираться с самими технологиями по технической документации

99% документации, которую я читаю, именно техническая, Кирилл. И ещё, совет, таки, бесплатный, сходите выпейте кофе, успокойтесь, пока вы не наговорили того о чём потом возможно придётся пожалеть.

Потом, я предлагаю всё же вернуться к конструктиву, а именно:

Что заставляет вас думать о неполноценности Симантека, если докажите, что ативирусные проверки, равно как и обновления осуществляются в рамках каждой виртуальной машины - я с вами соглашусь.

Это ключевой момент, если выяснится, что процесс сканирования и обновлений происходит в каждой отдельно взятой машине т.е. классическим способом, то я с вами соглашусь, посыплю голову пеплом и скажу, что не прав:) Правда тогда я в упор отказываюсь понимать, зачем было вообще использовать VirtualAppliance и устанавливать модули vShield'а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      Ну конечно, проигрывая деньги на ставках, ты конечно заработаешь себе на бизнес, ага. Не обязательно на обычной работе собирать деньги, чтобы вложиться в бизнес. Я даже скажу, что никакой бизнесмен так не делал. Все идёт через кредиты. И, кстати, игровой бизнес очень выгодный, когда ты сам ведешь казино или букмекерскую контору. Я вот подобным и пробую сейчас заниматься. Пока доделывают сайт, уже купил ПО с игровыми автоматами champion club casino https://sharks-soft.com/champion-club-casino/ , взял кредит, чтобы на развитие этого всего. Надеюсь быстро всё на игроманах окупится. 
    • AM_Bot
      «СёрчИнформ Контур информационной безопасности» («СёрчИнформ КИБ», КИБ) – российская DLP-система для защиты от утечек конфиденциальных данных, а также предотвращения и расследования внутреннего мошенничества. Ранее мы рассматривали ее архитектуру и технические требования, теперь же сосредоточимся на новых возможностях и сценариях применения.     Введение АрхитектураЧто умеет «СёрчИнформ КИБ»3.1. Контроль коммуникаций и передвижения информации по максимально возможному числу каналов3.2. Анализ перехвата3.3. Расследование инцидентовНовые возможности «СёрчИнформ КИБ»4.1. Контроль привилегированных пользователей: удаленные доступы и сессии4.2. Отключение сетевых устройств при связи по LAN4.3. Контроль новых каналов4.4. Расширение возможности контроля корпоративных облачных хранилищ4.5. Расширение функциональности для агентов на Linux4.6. Интеграция со СКУД «Орион Про»Выводы Введение  «Однозадачность» DLP-систем ушла в прошлое. Современные программы должны создавать полноценный контур информационной безопасности в компании, защищать от:утечек информации (в личных целях, в пользу конкурентов, по глупости и ошибке, из мести);корпоративного мошенничества (создания «боковых схем», взяточничества, кумовства);непродуктивного использования рабочего времени и ресурсов компании.«СёрчИнформ» фокусируется на оптимизации работы системы, расширении ее функциональности, а также выпускает родственные решения, которые работают в связке с DLP («СёрчИнформ SIEM», «СёрчИнформ ProfileCenter», «СёрчИнформ TimeInformer» и «СёрчИнформ FileAuditor», о котором писали недавно).Это — тоже в духе потребностей рынка, потому что в идеальном случае софт должен избавлять заказчика от необходимости переключаться с одного решения на другое, снимать вопросы внутренней безопасности в едином интерфейсе.Это — не первый обзор «СёрчИнформ КИБ». Вы можете прочесть полную информацию о предыдущих версиях программного обеспечения в обзорах 2016 и 2018 годов. В этом тексте для удобства повторимся в описании основных функциональных возможностей системы и расскажем об обновлениях. Рисунок 1. Линейка продуктов «СёрчИнформ». Все бесшовно интегрируются друг с другом  Архитектура«СёрчИнформ КИБ» имеет клиент-серверную структуру, защита данных обеспечивается:на конечных рабочих станциях;посредством взаимодействия с сетевым оборудованием или прокси-серверами;за счет интеграции с корпоративными системами.Продукт имеет 15 модулей контроля каналов передачи информации, 2 аналитических модуля. Что умеет «СёрчИнформ КИБ»Главное современное требование к DLP-системам – защищать информацию по всем каналам в любом формате, анализировать поток данных и немедленно выявлять среди них факты нарушения политик безопасности, в том числе в ретроспективном режиме.Рассмотрим, как это реализовано в «СёрчИнформ КИБ». Контроль коммуникаций и передвижения информации по максимально возможному числу каналовПередача данных, а также коммуникации сотрудников друг с другом и пользователями за пределами компании полностью берутся под контроль.«СёрчИнформ КИБ» собирает информацию из:почты;внешних устройств;FTP-серверов;принтеров;мессенджеров, включая те, что используют end-to-end шифрование (Telegram, WhatsApp, Viber);с микрофона, камеры, монитора и клавиатуры компьютера;трафика, переданного по HTTP/HTTPS-протоколам, а также запущенных программ;действий пользователей через удаленные соединения;облачных хранилищ.Контроль также возможен в режиме реального времени, т.к. DLP-система позволяет подключаться к монитору, микрофону, веб-камере. Рисунок 2. В «СёрчИнформ КИБ» — 15 модулей, которые держат под контролем все основные каналы передачи информации Анализ перехватаАналитические возможности – сильная сторона «СёрчИнформ КИБ». В отличие от решений конкурентов, система работает на движке собственной разработки – SearchServer, который создавался исключительно для использования в DLP. В прошлом году движок был обновлен, что повысило производительность всей программы на 30% (по результатам некоторых тестов — на 40%). Это ускорило все процессы, от первичной обработки информации до итоговой поисковой выдачи.SearchServer позволяет индексировать данные перехвата и искать по нему информацию, используя множество разных видов анализа: по словам, словарям, морфологии, атрибутам, по регулярным выражениям, цифровым отпечаткам, по алгоритму «поиск похожих», статистическим и комплексным поисковым запросам, а также любым комбинациям вышеперечисленных. В систему встроен бесплатный OCR-модуль – средство распознавания символов. Он позволяет обнаружить в массиве документов те, которые отвечают установленному образцу. «СёрчИнформ КИБ» также интегрирован с решением ABBYY FineReader Engine, имеющим более широкие, чем у бесплатной OCR, возможности распознавания текста на изображениях (более 200 языков, более качественное распознавание рукописных символов).Также система «понимает» попытки обхода политик безопасности, уловки, например использование цифр вместо букв, транслитерацию, умышленное искажение слов и даже попытки шифровать архивы.Поисковый движок КИБ поддерживает Unicode – он работает с документами на разных языках (решение адаптировано для работы в 26 странах), имеет совместимость со всеми популярными типами файлов.В новой версии также реализована возможность находить заданную комбинацию символов в точной последовательности. Эта опция появилась как альтернатива поиску по регулярным выражениям и позволяет не создавать лишнюю нагрузку на сервер. Она подходит, когда ИБ-специалист точно знает, какую комбинацию ищет (номер машины, договора, паспорта и т.д.). Рисунок 3. Обнаружены документы (авиабилеты) с помощью модуля распознавания текста   Запись аудио для экономии времени можно настроить по критериям: например, она может включаться каждый раз при запуске конкретных критичных процессов или программ.Такие мощные поисковые возможности позволяют реализовывать текущий контроль даже по самым сложно настроенным политикам безопасности, предотвращать преступления на этапе их планирования, а также проводить ретроспективные расследования, анализируя архив собранных данных.Расследование инцидентовВсе описанные выше возможности востребованны не только для одномоментного обнаружения инцидента по политикам безопасности, но и для сбора информации обо всех обстоятельствах нарушения, восстановления цепочки действий и круга причастных лиц. Всё это становится основой для доказательной базы.Сценарий использования:После установки DLP стало понятно, что региональный директор производственной компании и ее подчиненная берут «откаты». Более того, стало ясно, что происходило это на протяжении 12 лет. Суммы контрактов были большими, и за годы накопились миллионы долларов.Заподозрили схему благодаря анализу коммуникаций коллег друг с другом (устные переговоры, сообщения в мессенджерах). Далее ИБ-служба начала собирать всю информацию за эти годы. Подняли все заключенные обеими сотрудницами контракты, изучили цены и рынок, пообщались с представителями контрагентов. В итоге выяснилось, что сотрудница и руководитель закладывали «откат» в размере 10% от итоговой стоимости контракта. Во время общения со службой безопасности сотрудница признала наличие схемы. Обе причастные коллеги уволены.В качестве иллюстрации обстоятельств инцидента КИБ предлагает больше 30 базовых шаблонов отчетов. Они удобны для работы пользователей программы – ИБ-специалистов и ИБ-директоров. Кроме того, они позволяют быстро собрать информацию для отчета перед руководством.Отчет по связям – показывает каналы коммуникации, число сообщений по пользователям как внутри сети, так и с внешними адресатами.Рисунок 4. Граф отношений, построенный в Консоли аналитика  Контентный маршрут – описывает перемещение документов от отправителя к получателю как по внутренним, так и по внешним каналам связи. Рисунок 5. Контентный маршрут в «СёрчИнформ КИБ»  Отчет продуктивности и эффективности пользователей – показывает загрузку, фактически отработанное время, фиксирует ранние и поздние уходы, а также наглядно иллюстрирует эффективность сотрудников по тем процессам, которыми они были заняты в течение дня.Отчет по программам и устройствам – упорядочивает данные об установке и удалении программ, отражает изменения в комплектующих и устройствах, которые пользователи подключают к компьютеру.Пользователь может настроить для себя и другие отчеты под собственные нужды. Рисунок 6. Скриншот отчета    Новые возможности «СёрчИнформ КИБ»Контроль привилегированных пользователей: удаленные доступы и сессииВ новой версии функции контроля усилены, реализована функциональность для предотвращения опасных действий пользователей.В «СёрчИнформ КИБ» можно комплексно контролировать протокол подключения к удаленному рабочему столу (RDP) – основному средству удаленного администрирования Windows. С помощью гибких настроек стало удобнее управлять действиями пользователей при активном RDP-подключении:  задавать разные правила для ПК пользователя и удаленной машины – например, запретить копирование с одной стороны или вставку с другой;делать теневую копию всех файлов, обмен которыми идет в RDP;запрещать любое перемещение файлов через RDP-подключение.Также специалисты по безопасности смогут ограничивать действия сотрудников, которые используют VMware/VirtualBox для доступа к виртуальным средам (машинам, ресурсам, приложениям). КИБ заблокирует флешки и другие съемные устройства, если пользователь попытается подключить их к виртуальной машине. Рисунок 7. Настройка действий при использовании VMware/VirtualBox  Основная цель обоих инструментов – не дать пользователям с привилегиями занести на удаленную машину нежелательные файлы или украсть оттуда информацию. На данный момент в DLP конкурентов нет таких широких возможностей защиты терминальных серверов, виртуальных сред и средств удаленного администрирования. Первым шагом было взятие под контроль TeamViewer и его аналогов как самых популярных средств удаленного администрирования. После появились решения для контроля других инструментов, с помощью которых пользователи получают доступ к удаленным хранилищам и машинам.Сценарий использования:Сотрудник банка с привилегированным доступом был в курсе, что действия пользователей контролируются с помощью DLP «СёрчИнформ КИБ», но о том, что система видит действия пользователей во время удаленных сессий, не знал. В результате ИБ-служба увидела попытку сотрудника скопировать часть базы с персональными данными клиентов через интерфейс TeamViewer и предотвратила утечку.Отключение сетевых устройств при связи по LANВ КИБ появилась возможность контролировать действия пользователя при подключении сетевых устройств – реализована опция блокировки беспроводных соединений, если подключен сетевой кабель. Рисунок 8. Настройка действий при подключении по LAN  Опциональная блокировка работы Opera VPNВ КИБ добавлена возможность блокировать работу VPN-соединений в HTTPS/SOCKS в браузере Opera, что позволяет закрыть потенциальную «дыру» в безопасности сети. Без блокировки трафик VPN-соединений в Opera окажется фактически невидимым, и пользователь сможет обходить правила безопасности.Контроль новых каналовС момента прошлого обзора в «СёрчИнформ КИБ» расширена функциональность контроля переписки в бизнес-чате Bitrix24. Теперь мониторинг сообщений происходит путем интеграции с внутренним сервером Bitrix, что не создает дополнительную нагрузку на агент, облегчает возможность перехвата.Под контроль КИБ также взяты бизнес-мессенджеры Microsoft Teams, Slack, Lotus Sametime. В поле зрения специалистов по безопасности попадут документы, изображения и ссылки, которыми обмениваются пользователи.Корпоративные мессенджеры интегрированы с популярными облачными хранилищами и онлайн-планировщиками. Информация оттуда тоже станет доступной. Рисунок 9. Контроль мессенджера Slack. Сработала политика безопасности по «откатной» тематике  Теперь КИБ обеспечивает контроль наибольшего числа популярных мессенджеров – как общедоступных, так и корпоративных. Перехват информации из популярных мессенджеров с end-to-end-шифрованием (Telegram, WhatsApp, Viber и др.) осуществляется на уровне рабочих станций. При этом контролируются не отдельные приложения и типы коммуникаций, а клиенты для рабочего стола, веб-версии, тексты, звонки и файлы.«СёрчИнформ КИБ» находит утечки документов и файлов через переписки, а также обнаруживает коммуникации, сигнализирующие об опасных склонностях и поведении сотрудников.Сценарий использования:На производстве сдавали кислоту на утилизацию, за что организация платила подрядчику 12 тысяч рублей за каждую сданную тонну. В перехват DLP попала переписка из WhatsApp (веб-версия), сработала политика по словарю «боковые схемы». Из нее следовало, что сотрудник, ответственный за сдачу кислоты, каждый раз дописывает 5 лишних тонн. В результате по каждой сделке компания переплачивала 60 тысяч рублей (360 тысяч рублей за год).Расширение возможности контроля корпоративных облачных хранилищВ DLP-системе «СёрчИнформ КИБ» расширена возможность сканирования облачных хранилищ. Содержимое проверяется на соответствие политикам безопасности. Можно проверять документы, которые загружаются или скачиваются сотрудниками из корпоративной инфраструктуры, а также все данные, хранящиеся на аккаунтах. В новой версии функциональность доступна и для популярного хранилища OneDrive. В более ранних версиях КИБ под контроль были взяты Yandex.Disk, DropBox, CMIS.Расширение функциональности для агентов на Linux«СёрчИнформ КИБ» была первой системой, прошедшей сертификацию на совместимость с ОС Astra Linux Special Edition по программе «Software Ready for Astra Linux». Первоначально возможности КИБ для Linux были скромными, но вендор продолжает наращивать их, и сейчас они приближаются к возможностям для Windows-систем.Реализован сбор данных по протоколам HTTP, IM, Mail, FTP, Cloud для операционных систем Ubuntu 16.04.5 LTSи CentOS 7.6. Для CentOS 7.6 также доступна блокировка USB-устройств и сетевых ресурсов. Появилась возможность создавать белые/черные списки – обеспечивать контроль доступа.В новой версии реализована возможность добавления сайтов в черный и белый списки блокировки HTTP. Ранее это делалось на сетевом уровне, что не решало вопроса блокировки в том случае, если пользователь подключался к интернету посредством, например, Wi-Fi, розданного с личного телефона. Теперь блокировка возможна на уровне агента, что в случае необходимости ограничит или, наоборот, разрешит доступ к определенным сайтам с конкретного компьютера.Интеграция со СКУД «Орион Про»Решение поддерживает интеграцию со СКУД с 2017 года. В новой версии добавлена поддержка еще одной распространенной системы, «Орион-Болид». Данные из нее теперь возможно опционально отобразить в отчетах ProgramController:опоздания сотрудников,ранние уходы,журнал рабочего времени,посещения сотрудников,табель рабочего времени.Интеграция DLP со СКУД дополняет отчеты о соблюдении режима доступа информацией о продуктивности сотрудников и показывает, кто появляется на работе в срок, но проводит время за разговорами и кофе, симулирует сверхурочную занятость и т.д. DLP-система фиксирует на видео события, попадающие в поле обзора камеры компьютера. Но интеграция со СКУД позволяет дополнить картину инцидента еще и по «физическим» уликам в офисном пространстве.Сценарий использования:В тех компаниях, где предусмотрена оплата за отработанные часы, встречается форма «латентного» воровства – ненужные переработки, когда человек может сделать задачу за 4 часа, но будет делать ее весь день, а может, и останется на часок после работы. Для сотрудника это — «переработки», которые оплачиваются как сверхурочные.ИБ-служба должна выявлять такие факты. В этой истории ИБ-специалист проверил отчеты по ProgramController, выбрал сотрудников, которые работают более 10 часов, выгрузил данные из СКУД. Внимание привлекла аномалия по одному работнику. Он прошёл через турникет в 18:02, как и все, но судя по запущенным на компьютере процессам, работал за ним до 21:27. Возможные причины:кто-то работал за его машиной из-под его учетки,сам сотрудник работал удаленно,сбой в СКУД.Дальнейшее расследование показало, что «старательный» сотрудник логинился через TeamViewer Portable. Программы удаленного доступа в компании были запрещены, но для TeamViewer Portable не нужны права администратора. Так ИБ-служба раскрыла лазейку, которой воспользовался сотрудник, а также предотвратила «кражу времени» в компании. ВыводыВ целом «СёрчИнформ КИБ» уже можно рассматривать как многофункциональную «машину» для защиты не только данных, но и всего бизнеса от внутренних угроз. Задачи трансформации DLP перед вендорами встают регулярно, и «СёрчИнформ» движется в русле этого тренда.ДостоинстваПродукт позволяет выполнять смежные для DLP функции: eDiscovery, Time Tracking, Risk Management, криптозащита информации, аудит IТ-инфраструктуры, контроль привилегированных пользователей и другое. Также «СёрчИнформ КИБ» легко интегрируется с другими продуктами с «родственными» задачами (SIEM, FileAuditor, ProfileCenter).«СёрчИнформ КИБ» –  отечественная разработка. Наличие сертификатов и опыт позволяют реализовывать крупные и сложные проекты (максимальный размер внедрения – 50 тысяч рабочих станций), в том числе в госсекторе.Большое число контролируемых каналов (почта, внешние устройства, принтеры, мессенджеры, в том числе end-to-end, облачные хранилища, интеграция со СКУД и др.)Развитые возможности поиска и анализа информации, проведения расследований и сбора доказательной базы: обширный архив, в том числе теневых копий файлов с устройств, облачных хранилищ и т.п.Самые широкие среди конкурирующих продуктов возможности контроля удаленных и привилегированных пользователей.  Высокая скорость внедрения и возможность быстрого расширения функциональности благодаря модульной структуре.Более низкая, чем у продуктов конкурентов, нагрузка на IT-инфраструктуру.НедостаткиВ КИБ пока нет поддержки бесплатных СУБД.Нет поддержки macOS на агентах, нет агентов для мобильных платформ.Нет возможности использовать бесплатную операционную систему для сервера, работа только на платной ОС Windows Server.Функциональность для Linux развивается, но пока уступает возможностям агентов для Windows-систем.Вы можете запросить систему для бесплатного полноценного триала на любое число рабочих станций в течение месяца.  Читать далее
    • OlesyaAverina
      У нас случай был, когда в семье была охотничья собака. Так вот она жила одна на двухкомнатной квартире). Мы только ходили её кормить и выгуливать. Так вот после парочки жалоб соседей, тоже решили купить ошейник антилай https://satom.ru/k/osheyniki-antilay/ . Жалко конечно её таким мучить, но по другому к сожалению с этим бороться нельзя. 
    • Vladimir2314
      У меня собака ночью очень сильно воет. И я решил купить ей ошейник антилай. Подскажите пожалуйста где его можно купить по нормальной цене?
    • Quinzy
      Всегда забавляли игроки в "танки". Никто в армию идти не хочет, испытать всю эту жизнь в реальности, зато все спецы в танковом деле.)) На играх, как мне кажется лучше пробовать зарабатывать, а не наоборот. Тратить деньги на лишнюю броню. В реальной жизни это вряд ли поможет. Лучше играть и зарабатывать в какие-нибудь игровые автоматы. Я вот сам хочу этим заняться и тут  тренируюсь на бесплатных играх. Вроде ничего так выходит. Пора пробовать и на депозитных поиграть. 
×